Phishing : comment ne pas gober l'hameçon
Le phishing, c'est la technique d'attaque numéro un. Pas la plus sophistiquée, mais la plus efficace. Parce qu'elle mise sur la seule vulnérabilité qu'on ne peut pas patcher : l'être humain.
Qu'est-ce que le phishing ?
Le phishing (ou hameçonnage) est une technique qui consiste à se faire passer pour quelqu'un de confiance (banque, fournisseur, patron, plateforme) pour vous pousser à :
- Cliquer sur un lien piégé
- Ouvrir une pièce jointe infectée
- Donner vos identifiants
- Effectuer un virement frauduleux
Les 7 signes qui ne mentent pas
- L'urgence — « Votre compte sera fermé dans 24h » est presque toujours une arnaque
- L'expéditeur douteux — Vérifiez l'adresse e-mail complète, pas juste le nom affiché.
support@banque-security123.xyzn'est pas votre banque. - Les fautes — Les arnaqueurs s'améliorent, mais les erreurs de grammaire restent des indices.
- Le lien bizarre — Survolez le lien sans cliquer. Si l'URL ne correspond pas au site annoncé, fuyez.
- La demande d'informations sensibles — Aucun service sérieux ne vous demande votre mot de passe par e-mail.
- La pièce jointe inattendue — Un .zip d'un fournisseur que vous n'avez pas ? Suspect.
- Le ton inhabituel — Votre DG qui demande un virement urgent, c'est la fraude au faux président.
Les variantes à connaître
Le spear phishing — Personnel, ciblé. L'attaquant personnalise le message après avoir fait ses recherches sur vous.
Le smishing — Phishing par SMS. « Votre colis est bloqué, cliquez ici ».
Le vishing — Par téléphone. Quelqu'un se fait passer pour le support Microsoft ou votre banquier.
La fraude au faux président — Un e-mail impersonnant le dirigeant, demandant un virement urgent. Coût moyen : 50 000 €.
Que faire quand on a un doute ?
- Ne cliquez sur rien — Ni lien, ni pièce jointe
- Vérifiez par un autre canal — Appelez la personne directement
- Signalez — Transférez à signal-spam@signal-spam.fr ou Pharos
- Supprimez — Supprimez l'e-mail et videz la corbeille
Comment se protéger en entreprise
- MFA sur tout — Même si un mot de passe est volé, la MFA bloque l'accès
- Filtre anti-phishing — Activez les filtres de votre messagerie
- Simulateur de phishing — Testez vos équipes régulièrement
- Procédure claire — Affichez : « Un e-mail étrange ? Ne cliquez pas. Signalez-le. »
Le phishing ne disparaîtra jamais — il évolue. Mais avec les bons réflexes et la MFA, il devient beaucoup moins dangereux.